OAuth2客户端明文和用户密码为密文

最新推荐文章于 2023-08-09 18:12:02 发布
最新推荐文章于 2023-08-09 18:12:02 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: ES 文章标签: spring cloud spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzj80927/article/details/121383291
版权

一、问题描述:

使用Spring-security-0Auth2:2.5.1 版本,进行用户认证时,一直出现问题:

{
    "error": "invalid_client",
    "error_description": "Bad client credentials"
}

出现问题的条件:

用户的密码使用明文验证时,不会出现此问题。而把密码验证设置为: bcrypt后,再次获取token时,就会报此问题。

postMan的请求和结果如下:

二、代码:

认证服务安全配置类:主要是验证用户名和密码

package com.lagou.edu.oauth.config;


import com.lagou.edu.oauth.service.JdbcUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import java.util.ArrayList;

/**
 * FileName: SecurityConfiger
 * Author:   
 * Date:     2021/10/29 17:02
 * Description: 该配置类为认证服务器安全配置类,主要处理用户名和密码的校验等事宜
 */

@Configuration
public class SecurityConfiger extends WebSecurityConfigurerAdapter {
    @Autowired
    private JdbcUserDetailsService jdbcUserDetailsService;

    /**
     * 注册一个认证管理器对象到容器
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }


    /**
     * 密码编码对象(密码不进行加密处理)
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        //return NoOpPasswordEncoder.getInstance(); //密码不加密

        return new BCryptPasswordEncoder(); //密码使用bcrypt加密
    }

    @Autowired
    private PasswordEncoder passwordEncoder;


    /**
     * 处理用户名和密码验证事宜
     * 1)客户端传递username和password参数到认证服务器
     * 2)一般来说,username和password会存储在数据库中的用户表中
     * 3)根据用户表中数据,验证当前传递过来的用户信息的合法性
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   

        //从数据库获取用户数据
        auth.userDetailsService( jdbcUserDetailsService ).passwordEncoder( passwordEncoder );




    }
}

Oauth2 server的配置类

package com.lagou.edu.oauth.config;

import com.netflix.discovery.converters.Auto;
import io.netty.util.internal.NoOpTypeParameterMatcher;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.jwt.crypto.sign.MacSigner;
import org.springframework.security.oauth2.config.annotation.configurers.ClientDetailsServiceConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableAuthorizationServer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerEndpointsConfigurer;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.client.JdbcClientDetailsService;
import org.springframework.security.oauth2.provider.token.AuthorizationServerTokenServices;
import org.springframework.security.oauth2.provider.token.DefaultTokenServices;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

import javax.sql.DataSource;


/**
 * FileName: OauthServerConfiger
 * Author:   xuan zongjun
 * Date:     2021/10/29 16:44
 * Description: 当前类为Oauth2 server的配置类(需要继承特定的父类AuthorizationServerConfigurerAdapter)
 */

@Configuration
@EnableAuthorizationServer // 开启认证服务器功能
public class OauthServerConfiger extends AuthorizationServerConfigurerAdapter {

    @Autowired
    LagouAccessTokenConvertor lagouAccessTokenConvertor; //jwt的扩展信息

    @Autowired
    private AuthenticationManager authenticationManager;

    private String sign_key = "123456"; // jwt签名密钥

    @Autowired
    private DataSource dataSource;

    /**
     * 认证服务器最终是以api接口的方式对外提供服务(校验合法性并生成令牌、校验令牌等)
     * 那么,以api接口方式对外的话,就涉及到接口的访问权限,我们需要在这里进行必要的配置
     *
     * @param security
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        super.configure( security );
        //相当于打开endpoints 访问接口的开关,这样的话后期我们能够访问接口
        security
                .allowFormAuthenticationForClients() //允许客户端表单认证
                .tokenKeyAccess( "permitAll()" )    // 开启端口/oauth/token_key的访问权限(允许)
                .checkTokenAccess( "permitAll()" ); // 开启端口/oauth/check_token的访问权限(允许)
              


    }

    /**
     * 客户端详情配置,
     * 比如: client_id,secret
     * 当前这个服务就如同QQ平台,拉勾网作为客户端需要qq平台进⾏登录授权认证等,提前需要到QQ平台注册,QQ平台会给拉勾网
     * 颁发client_id 等必要参数,表明客户端是谁
     *
     * @param clients
     * @throws Exception
     */
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        super.configure( clients );

        //2、客户信息存储在数据库
        // 从内存中加载客户端详情改为从数据库中加载客户端详情,默认表:oauth_client_details
        clients.withClientDetails( createJdbcClientDetailsService() );
    }

    @Bean
    public JdbcClientDetailsService createJdbcClientDetailsService() {
        JdbcClientDetailsService jdbcClientDetailsService = new JdbcClientDetailsService( dataSource );
        return jdbcClientDetailsService;
    }

    /**
     * 认证服务器是玩转token的,那么这个配置token令牌管理相关(token此时就是一个字符串,当下的token需要在服务器端存储,
     * 那么存储在哪里呢?都是在这里配置)
     *
     * @param endpoints
     * @throws Exception
     */
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        super.configure( endpoints );
        endpoints
                .tokenStore( tokenStore() )// 指定token的存储方法
                .tokenServices( authorizationServerTokenServices() ) // token服务的一个描述,可以认为是token生成细节的描述,比如有效时间多少等
                .authenticationManager( authenticationManager ) //认证管理器对象到容器
                .allowedTokenEndpointRequestMethods( HttpMethod.POST, HttpMethod.GET );


    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Autowired
    PasswordEncoder passwordEncoder;


    /*
   该方法用于创建tokenStore对象(令牌存储对象)
   token以什么形式存储
   */
    public TokenStore tokenStore() {
        //return new InMemoryTokenStore();
        return new JwtTokenStore( jwtAccessTokenConverter() );
    }

    /**
     * 返回jwt令牌转换器(帮助我们生成jwt令牌的)
     * 在这里,我们可以把签名密钥传递进去给转换器对象
     *
     * @return
     */
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        jwtAccessTokenConverter.setSigningKey( sign_key );// 签名密钥
        jwtAccessTokenConverter.setVerifier( new MacSigner( sign_key ) ); // 验证时使用的密钥,和签名密钥保持一致MacSigner 指定对称加密
        jwtAccessTokenConverter.setAccessTokenConverter( lagouAccessTokenConvertor );
        return jwtAccessTokenConverter;

    }


    /**
     * 该方法用户获取一个token服务对象(该对象描述了token有效期等信息)
     */
    public AuthorizationServerTokenServices authorizationServerTokenServices() {
        // 使用默认实现
        DefaultTokenServices defaultTokenServices = new DefaultTokenServices();
        defaultTokenServices.setSupportRefreshToken( true ); // 是否开启令牌刷新
        defaultTokenServices.setTokenStore( tokenStore() );

        //针对jwt令牌的添加
        defaultTokenServices.setTokenEnhancer( jwtAccessTokenConverter() );


        // 设置令牌有效时间(一般设置为2个小时)
        defaultTokenServices.setAccessTokenValiditySeconds( 200 ); // access_token 就是我们请求资源需要携带的令牌

        // 设置刷新令牌的有效时间
        defaultTokenServices.setRefreshTokenValiditySeconds( 259200 ); //3天
        return defaultTokenServices;
    }


}

 三、解决办法

因为springsecurity在最新版本升级后,默认把之前的明文密码方式给去掉了官方文档说明;
解决方式:

  1. 一般我们客户端账号密码不需要加密,所以在这里实现 .passwordEncoder(NoOpPasswordEncoder.getInstance()) 告诉security客户端密码不需要加密
  2. 使用BCryptPasswordEncoder将数据库中client密码加密

我的修改:

   @Override
    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
        super.configure( security );
        //相当于打开endpoints 访问接口的开关,这样的话后期我们能够访问接口
        security
                .allowFormAuthenticationForClients() //允许客户端表单认证
                .tokenKeyAccess( "permitAll()" )    // 开启端口/oauth/token_key的访问权限(允许)
                .checkTokenAccess( "permitAll()" ) // 开启端口/oauth/check_token的访问权限(允许)
                .passwordEncoder( NoOpPasswordEncoder.getInstance() ); //设置 客户信息 client_secret  使用明文验证


    }


参考地址:

spring boot security 项目中Encoded password does not look like BCrypt报错解决 - 简书

寻梦太极
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OAuth2 实现password与secret加密传输,解决明文传输问题
uchiha1st的博客
06-05 772
解决oauth2获取Token过程中password与client_secret明文传输的问题
oauth2 加密与注解配置
qq_45800365的博客
10-27 950
oauth02
oauth2-credentials-generator:一个小库,具有零依赖性,用于为您的oauth2应用程序生成加密安全的client_id和client_secret
05-01
Oauth2凭证生成器 描述 一个小的加密安全库,具有零依赖性,用于为您的oauth2应用程序生成和 。 安装 npm i jeremyhamm/oauth2-credentials-generator 使用情况 客户编号 const credentials = require('oauth2-credentials-generator'); const client_id = credentials.clientId(); 带有可选名称的客户ID 这会将name + _附加到返回的客户端ID上。 如果为多个客户端创建客户端ID,则很有用。 const credentials = require('oauth2-credentials-generator'); const client_id = credentials.clientId('name'); 客户机密 const cre
Oauth2.0 security 中对client-secret的加密
qq_40823552的博客
04-21 7015
简单记录了一下今天踩的巨坑,今天利用Oauth做了单点登录,在网上找的案例,但是在研究中发现数据库中存在这么一下这两条数据 实在是不明白其中的client_secret是如何产生的,利用passwordEncoder.encode()去加密配置文件中的client-secret根本不对,在网上找了很久的资料才找到了一个可用的答案 原本的client加载数据库资源是这么写的 @Override public void configure(ClientDetailsServiceConfigurer
加密与授权 Oauth2.0
ys.hubery
01-05 5039
加密算法 对称加密 加密和解密使用同样规则(简称"密钥"),这被称为"对称加密算法" 非对称加密 授权机制 OAuth OAuth2.0 授权码(authorization-code 隐藏式(implicit) 密码式(password) 客户端凭证(client credentials) ...
spring-security-oauth2-authorization-server实现用户密码登录
最新发布
笑对人生
08-09 1399
spring-security-oauth2-authorization-server实现用户密码登录
Shiro+OAuth2客户端和服务器源码
04-12
部署了一套非常全的OAuth2.0的例子 其中包括客户端和服务器端,专门为了OAuth2.0初学者提供了一个学习的资料 可以参考微博地址:http://blog.csdn.net/jbjwpzyl3611421/article/details/51130030
oauth2:Elixir OAuth 2.0客户端
02-03
`oauth2`库为Elixir开发者提供了一种方便的方式来集成OAuth 2.0授权,使他们能够安全地访问和管理用户的在线数据。通过配置、授权、获取和刷新令牌,以及使用这些令牌进行HTTP请求,`oauth2`使得与OAuth 2.0兼容的...
oauth2-google:OAuth 2.0客户端的Google提供程序
02-04
适用于OAuth 2.0客户端的Google提供... 要使用此软件包,必须具有Google客户端ID和客户端密码。 这些在文档中称为{google-client-id}和{google-client-secret} 。 请按照创建所需的凭据。 安装 要安装,请使用compo
OAuth2-Client:Google Oauth2客户端
05-18
该库支持以下OAuth2客户端提供商 谷歌 Facebook-(在dev上) Linkedin-(在dev上) 安装 将库添加到您的composer.json文件中: " require " : { " samanthajayasinghe/oauth2-client " : " dev " }
sttp-oauth2:使用sttp在Scala中实现的OAuth2客户端
04-05
sttp-oauth2-Scala的OAuth2客户端库该库旨在使用客户端与基于OAuth2提供程序轻松集成。 它使用进行JSON序列化/反序列化。...能够执行requestToken将用户登录名和密码转换为oauth2令牌ClientCredentials和ClientCred
SpringSecurity(二十三)--OAuth2:使用JWT和加密签名(上)对称密钥加密
学习不止境的博客
12-29 1660
最近阳了所以一直都在休整,大家一定要注意身体,能不阳就不阳,如果阳康后还是一直咳嗽,最好是能去医院看看,这绝对不是专家口中所说的新冠感冒那么简单,也绝对不是什么80%的无症状,大家不要放松警惕,仅以我个人观点发声,身体才是最重要的。好了,接下来步入正题,终于,我们也迎来了Spring Security的尾声,学习完jwtTokenStore之后,Spring Security的主要内容学习就告一段落,之后我可能还会更新一些这方面的拓展,例如全局方法安全性,但这些都是后话了。
SpringSecurity(十六)---OAuth2的运行机制(中)-密码客户端凭据授权类型以及刷新令牌
学习不止境的博客
11-23 947
本篇将讨论剩余的授权类型以及使用刷新令牌重新获得令牌等内容,仍然以概念为主。下一节我们将通过一个SSO实例让大家对授权码授权类型更加熟悉。
spring-security-oauth2密码模式
u013008898的博客
06-12 1387
AuthorizationServerConfig: SecurityConfig:
(五)OAuth 2.0 密码模式(Password)
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
05-13 4728
前言 我们了解到授权码模式是OAuth2.0四种模式流程最复杂模式,复杂程度由大至小:授权码模式 > 隐式授权模式 > 密码模式 > 客户端模式 其中密码模式的流程是:让用户填写表单提交到授权服务器,表单中包含用户用户名、密码、(client_Id + client_secret)的加密串,授权服务器先解析并校验客户端信息,然后校验用户信息,完全通过返回access_token,否则默认都是401 状态码,提示未授权无法访问 Demo基本结构 这里主要关注security-authori
Spring Cloud系列 Spring Cloud OAuth2授权码模式(authorization code)
ssaiwey的博客
06-22 1980
OAuth 2 有四种授权模式,分别是授权码模式(authorization code)、简化模式(implicit)、密码模式(resource owner password credentials)、客户端模式(client credentials),具体 OAuth2 是什么,可以参考这篇文章(http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html) 实现统一认证功能 本篇先介绍密码模式实现的单点登录,下一篇再继续说授权码模式 ...
oauth2.0 密码方式认证分析
qq_39584267的博客
08-19 3217
oauth2.0 密码方式认证分析
什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码
qq_31552107的博客
09-17 2820
什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码? 1.背景介绍 1.1 什么叫密码 密码是一种用来混淆的技术,使用者希望将正常的(可识别的)信息转变为无法识别的信息。但这种无法识别的信息部分是可以再加工并恢复和破解的。密码在中文里是“口令”(password)的通称。 2.知识剖析 2.1 什...
OAuth2四种授权登录之密码模式获取TOKEN
热门推荐
GinChou的萌新博客
09-03 1万+
学习地址: https://www.majiaxueyuan.com/uc/play/65 目录 1.简介 2.Oauth2角色划分 3.OAuth2为我们提供了四种授权方式 4.密码获取TOKEN方式 5.测试 1.简介 OAuth(开放授权)是一个开放标准,允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方网站或分享他们数据的所...
java实现oauth2 客户端
05-25
在Java中实现OAuth2客户端,可以使用Spring Security OAuth2框架。下面是一个简单的示例代码: 1. 添加依赖 ``` <groupId>org.springframework.security.oauth <artifactId>spring-security-oauth2 <version>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值